5.9情報及びその他の関連資産の目録

管理策「5.9情報及びその他の関連資産の目録」の概要

対象となる情報や関連資産を目録・一覧・リストといった形で明確に特定し、管理責任などを割り当てることを推奨しています。これにより、情報セキュリティを維持すること（要は機密性、完全性、可用性を保護すること）を目的とした管理策です。

情報資産とは？

情報資産という用語を耳にすることがあるかもしれませんが、情報とその他の関連資産を括った概念と考えられます。関連資産について明確な定義はありませんが、情報を保存したり、処理したりと、情報のライフサイクルにかかわる資産を指すと解釈すると腑に落ちます。具体的には、情報を保存するPCや外部記憶媒体などのハードウェア、情報を加工したりするソフトウェア、情報を取り扱う要員、要員が従業しているオフィスや書類等を保管する倉庫といった施設、といった例が挙げられます。

ただし、前述のように明確な定義が無いので、どこまでを情報資産として管理するかは皆様の定義次第であり、適切な定義は、事業内容・組織体制・ISMSに取り組む目的などによって変動するはずです。

目録は単一でないといけない？

単一である必要はありません。各資産毎に異なる様式であっても問題ありません。作成してみると分かるのですが、資産毎に必要な管理項目（例えば、保管場所や保管期間等）は異なります。無理に同じ様式で全ての資産の目録を作成しようとすると、資産によっては全く必要無い管理項目が発生し、それを無理に埋めようとすると無駄な労力がかかります。また、既存の台帳やリストなどを目録として活用することも可能です。特にPCなどは資産として一覧管理されていることが多いと思われます。

目録の粒度は指定されている？

具体的に粒度（細かさ）は指定されていません。管理目的である情報セキュリティの維持がなされていればよいということであり、粗くても適切な管理ができるのであれば支障はありません。

ただし、一般的にはあまりに粗すぎると、目録を作成した当人以外は、どの資産がどの項目に含まれるのか分からない（例えば、「契約資料一式」として目録に登録した場合、申込書は一式に含まれるのか？といった具合）といった現象が散見されるので、粒度というよりは、誰が見ても分かるように作成することが肝要です。

なお、審査時に「〇部と△部で細かさが違う、〇部では□が登録されているのに、△部では登録されていない」といった指摘がよくあります。これを避けるためには明確な基準を設ける必要がありますが、例えば、一斉に目録を作成するのではなく、ある部門のみ先行して目録を作成し、その成果物をモデルとして他部門が作成するといった取り組みをするとある程度粒度が揃うことが多いです。

管理項目とは？

明確に指定されていませんが、一般的には、資産の「重要度」「場所」「管理責任者」「分類」「利用範囲」などを設けます。「重要度」は情報セキュリティ上の重要度なので、CIAの観点での重要性で問題ありません。「場所」は保管場所・保存場所・設置場所、「管理責任者」は文字通りその資産の管理において責任を負う者、「分類」もCIAの観点での分類（例えば、秘密性の度合いによって、「極秘」「社外秘」・・・といった分類）、「利用範囲」は、組織的な範囲（例えば、「〇〇部」）が想定されます。

リスク分析との関連性は？

クラシックなリスク分析の手法として、情報資産毎にリスクを特定して分析していくという手法がありますが、必ずそうしなければならないわけではありません。ある程度情報資産とリスクを紐づけする必要はありますが、その際に個別の情報資産毎にリスクを分析すると非効率であり、網羅性に欠けるケースが多いため、グルーピングが重要です。

さらに、グルーピングするためには資産のタグ付けが必要となります。そのタグが前述の管理項目となるので、グルーピングを想定した管理項目の設定は重要です。例えば、簡単な例としては、個人情報を含むかどうかといったタグが考えられます。

不採用の可能性があるか？

ISMSの根幹を構成する管理策のひとつなので、全ての組織が採用する管理策です。